Обратная сторона удобства сетей — потенциальная уязвимость, которая может вылиться в очень крупные проблемы, если атаке подвергаются управляющие компьютеры важных объектов, производств и систем жизнеобеспечения. Для защиты применяют так называемый «воздушный зазор» (air gap), когда управляющие ИТ-системы не имеют физической связи с сетями общего назначения. Однако и это не является стопроцентной гарантией от взлома либо утечки ценных данных.
Одной из самых известных кибератак похожего типа можно назвать Stuxnet — одноимённый «червь» попал в систему, которая доступа в Интернет не имела. С тех пор идея «воздушного зазора» стала ещё более популярной. Однако и она не гарантирует стопроцентной защиты. ESET обнаружила группу хакеров, работающую над созданием вредоносных программ, способных преодолевать «зазоры» между сетями. Кроме того, совсем недавно аналогичную атаку, но уже со стороны китайских хакеров, зафиксировала и Лаборатория Касперского.
Идея обхода «зазора» довольно проста — даже изолированные сети вынуждены как-то общаться друг с другом, пусть даже с помощью физических носителей данных. Так в своё время и поступили те, кто атаковал иранскую ядерную программу. Меры безопасности в пост-Stuxnet эпоху серьёзно возросли, все накопители в таких системах тщательно проверяются. Но вредоносный код не обязательно должен существовать сам по себе, его могут «подвезти» файлы и устройства, не попадающие под подозрение.
Новый червь носит имя Ramsay, ему достаточно оказаться с любой стороны «воздушного зазора», после чего он начнёт заражать все обнаруженные им системы. «Рэмзи» существует, как минимум, в трёх вариациях: версии 1 и 2.b использует уязвимость в .doc (CVE-2017-0199), .rtf (CVE-2017-11882) и механизмы Visual Basic, интегрированные в Word. Версия 2.a рассчитана на применение «отвлекающего инсталлятора». Червь в итоге маскируется под ряд dll-файлов и инъецирует себя в запущенные процессы, минуя UAC.
Серьёзных массовых случаев заражения Ramsay пока не отмечено, однако ESET подтверждает существование продвинутой группы кибершпионажа, которая активно работает над развитием данного проекта. Червь весьма непрост: пропустив момент первоначального заражения, вы рискуете уже никогда не поймать его — настолько ловко он маскируется. Компания рекомендует всем, кто опасается за ценные данные, уделять повышенное внимание съёмным накопителям, которые применяются для переноса данных через «воздушный зазор». Подробности о новом черве можно прочесть в отчёте ESET.
Как уже было сказано, идея преодоления «зазора» сама по себе проста, сложна лишь её техническая реализация. К сожалению, этой идеей уже успели воспользоваться не только создатели Ramsay. Как отмечает Лаборатория Касперского, китайская группа «Goblin Panda and Conimes» (она же «Cycldeck»), активная уже в течение семи лет, атакует правительственные сети государств юго-востока Азии, в частности, Вьетнам, Лаос и Тайланд. Основная цель — сети дипломатических и государственных организаций.
Механизмы, реализованные во вредоносном ПО этой группы, также эксплуатируют уязвимости Microsoft Office: CVE-2012-0158, CVE-2017-11882 и CVE-2018-0802. Активность китайских хакеров явно делится на два кластера, поскольку обнаружено два варианта ПО, условно названных BlueCore и RedCore. Оба варианта маскируются под dll-файлы популярных антивирусных программ, но RedCore обладает дополнительной функциональностью — она содержит кейлоггер, логгер сессий RDP, прокси-сервер и идентификатор присутствующих в системе устройств.
Важной частью BlueCore и RedCore является программа USBCulprit, способная сканировать системы жертв, собирать заданные атакующими документы (форматы .pdf, .doc, .wps, docx, ppt, .xls, .xlsx, .pptx и .rtf, копировать их на USB-носители, а также запускать с этих носителей различные исполняемые файлы. Этим функциональность не ограничивается: черви авторства «Cycldeck» имеют множество модулей и могут похищать информацию прямо из браузеров на движке Chromium, включая списки паролей. Подробности можно узнать на сайте SecureList.
Группа китайских хакеров маскируется под маргинальную, однако используемый ими профессиональный инструментарий говорит о серьёзном уровне подготовки; впрочем, остаётся открытым вопрос о том, работают ли они на правительство КНР.
